充分挖掘代码中存在的安全缺陷以及规范性缺陷,帮助开发人员了解其开发的应用系统可能会面临的威胁,并指导开发人员正确修复程序缺陷。
服务简介
代码审计是帮助企业从安全角度通过对软件的源代码采用静态的语法分析、语义分析、控制流分析、数据流分析等技术来发现代码中存在的安全缺陷以及规范性缺陷,更全面、更彻底的发现软件中存在的问题。"对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。我司可以为增值电信企业出具定级备案所需的定级报告、三同步报告、符合性测评报告、符合性证明文件、风险评估报告、移动应用安全检测报告、整改报告。
功能特点
超强容错机制
JAVA/C/C++语言不依赖于编译环境。
支持的语言
开源代码漏洞检测,完全覆盖公开漏洞库数据。
安全缺陷种类全
超过1000种缺陷种类,全面兼容CWE、OWASP、CERT等国际编码标准。
超快检测速度
>1万行/分,支持千万行级代码扫描。
自动审计
通过机器自学习技术基于历史代码审计信息学习识别有效缺陷,提高审计效率。
字节码扫描技术
AVA字节码扫描技术,没有源代码也能进行安全扫描。
应用场景
上线前代码检测
外包项目源代码安全检查:安全部门/测试部门对外包项目的源代码及开源组件进行安全检查。 内部源代码安全检查:安全部门/测试部门在上线前对开发部门的项目源代码及开源组件进行安全检查。
DevSecOps 落地
用户重视开发过程中的源代码及开源组件的安全管理,需要对开发项目进行持续性的检测和监管。 用户已经建立安全管理体系,现在需要把代码审计工具融入当前的开发测试流程、部分功能或集成工作可能需要定制开发。
多工具集成整合
用户已购买其它源代码审计产品,但使用效果不理想,不支持多并发检测,不能有效支撑安全开发流程,需要引入新的源代码检测产品,与现有引擎进行交叉互补,去重,降低误报。 用户希望建设一个代码安全管理平台整合多个检测工具,同时对多个工具的检测结果进行深度融合、交叉互补、去重、降低误报漏报。
服务优势
漏洞覆盖范围广
涵盖了大多数常见漏洞,包括CWE/OWASP Top 10等安全组织定义的缺陷类型。
误报率极低
基于敏感数据流追踪分析,报告的风险内容误报率几乎为零。
构建安全开发生命周期
无缝接入安全开发生命周期(SDL),在测试阶段接入IAST系统,测试人员无需掌握安全测试知识,用户体验“零感知”下完成功能测试和安全测试,提高了安全测试的效率。
服务简介
代码审计是帮助企业从安全角度通过对软件的源代码采用静态的语法分析、语义分析、控制流分析、数据流分析等技术来发现代码中存在的安全缺陷以及规范性缺陷,更全面、更彻底的发现软件中存在的问题。"对本单位所有正式上线运行的网络和系统进行定级备案或变更备案。我司可以为增值电信企业出具定级备案所需的定级报告、三同步报告、符合性测评报告、符合性证明文件、风险评估报告、移动应用安全检测报告、整改报告。
功能特点
应用场景
上线前代码检测
外包项目源代码安全检查:安全部门/测试部门对外包项目的源代码及开源组件进行安全检查。 内部源代码安全检查:安全部门/测试部门在上线前对开发部门的项目源代码及开源组件进行安全检查。
DevSecOps 落地
用户重视开发过程中的源代码及开源组件的安全管理,需要对开发项目进行持续性的检测和监管。 用户已经建立安全管理体系,现在需要把代码审计工具融入当前的开发测试流程、部分功能或集成工作可能需要定制开发。
多工具集成整合
用户已购买其它源代码审计产品,但使用效果不理想,不支持多并发检测,不能有效支撑安全开发流程,需要引入新的源代码检测产品,与现有引擎进行交叉互补,去重,降低误报。 用户希望建设一个代码安全管理平台整合多个检测工具,同时对多个工具的检测结果进行深度融合、交叉互补、去重、降低误报漏报。
服务优势
漏洞覆盖范围广
涵盖了大多数常见漏洞,包括CWE/OWASP Top 10等安全组织定义的缺陷类型。
误报率极低
基于敏感数据流追踪分析,报告的风险内容误报率几乎为零。
构建安全开发生命周期
无缝接入安全开发生命周期(SDL),在测试阶段接入IAST系统,测试人员无需掌握安全测试知识,用户体验“零感知”下完成功能测试和安全测试,提高了安全测试的效率。
微信咨询
电话咨询